AuthenticationProvider

  • 默认实现:DaoAuthenticationProvider

授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。

  1. additionalAuthenticationChecks方法校验密码有效性
  2. retrieveUser方法根据用户名获取用户
  3. createSuccessAuthentication完成授权持久化
@Component

@Slf4j

public class LindAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

  @Autowired

  UserDetailsService userDetailsService;

  @Autowired

  private PasswordEncoder passwordEncoder;

  /**

   * 校验密码有效性.

   *

   * @param userDetails    .

   * @param authentication .

   * @throws AuthenticationException .

   */

  @Override

  protected void additionalAuthenticationChecks(

      UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    if (authentication.getCredentials() == null) {

      logger.debug("Authentication failed: no credentials provided");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

    String presentedPassword = authentication.getCredentials().toString();

    if (!passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {

      logger.debug("Authentication failed: password does not match stored value");

      throw new BadCredentialsException(messages.getMessage(

          "AbstractUserDetailsAuthenticationProvider.badCredentials",

          "Bad credentials"));

    }

  }

  /**

   * 获取用户.

   *

   * @param username       .

   * @param authentication .

   * @return

   * @throws AuthenticationException .

   */

  @Override

  protected UserDetails retrieveUser(

      String username, UsernamePasswordAuthenticationToken authentication)

      throws AuthenticationException {

    UserDetails loadedUser = userDetailsService.loadUserByUsername(username);

    if (loadedUser == null) {

      throw new InternalAuthenticationServiceException(

          "UserDetailsService returned null, which is an interface contract violation");

    }

    return loadedUser;

  }

}

 /**

   * 授权持久化.

   */

  @Override

  protected Authentication createSuccessAuthentication(Object principal,

                                                       Authentication authentication, UserDetails user) {

    return super.createSuccessAuthentication(principal, authentication, user);

  }

AuthenticationFilter

  • 默认实现:UsernamePasswordAuthenticationFilter

授权过滤器,你可以自定义它,并把它添加到默认过滤器前或者后去执行,主要用来到授权的持久化,它可以从请求上下文中获取你的user,password等信息,然后去判断它是否符合规则,最后通过authenticate方法去授权。默认的UsernamePasswordAuthenticationFilter过滤器,主要判断请求方式是否为post,并且对username和password进行了默认值的处理,总之,在这个过滤器里不会涉及到具体业务。

public class LindUserNameAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

  public LindUserNameAuthenticationFilter() {

    super(new AntPathRequestMatcher("/login", "GET"));

  }

  @Override

  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

    String username = request.getParameter("username");

    String password = request.getParameter("password");

    if (username == null) {

      throw new InternalAuthenticationServiceException("Failed to get the username");

    }

    if (password == null) {

      throw new InternalAuthenticationServiceException("Failed to get the password");

    }

    UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(

        username, password);

    authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

    return this.getAuthenticationManager().authenticate(authRequest);

  }

}

UserDetialsService

这是一个接口,有默认的实现方式,一般的,我们需要根据业务去重新实现它,比如从你的用户表获取当前授权的用户信息,你需要在UserDetialsService实现类里对用户表进行读取操作;它一般会在AuthenticationProvider里的retrieveUser方法中被使用,这就像面向对象里的模板方法模式一样,springSecurity把检验的步骤设计好了,咱们开发只要根据规则去实现具体细节就好。

@Component

public class MyUserDetailService implements UserDetailsService {

  @Autowired

  private PasswordEncoder passwordEncoder;

  @Override

  public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {

    /*

      设置用户和角色需要注意:

      1. commaSeparatedStringToAuthorityList放入角色时需要加前缀ROLE_,而在controller使用时不需要加ROLE_前缀

      2. 放入的是权限时,不能加ROLE_前缀,hasAuthority与放入的权限名称对应即可

    */

    List<UserDetails> userDetailsList = new ArrayList<>();

    userDetailsList.add(User.builder()

        .username("admin")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_ADMIN")).build());

    userDetailsList.add(User.builder()

        .username("user")

        .password(passwordEncoder.encode("123"))

        .authorities(AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"))

        .build());

    //获取用户

    return userDetailsList.stream()

        .filter(o -> o.getUsername().equals(name))

        .findFirst()

        .orElse(null);

  }

}

在WebSecurityConfig里开启它

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired

  LindAuthenticationSuccessHandler lindAuthenticationSuccessHandler;

  @Autowired

  LindAuthenticationFailHandler lindAuthenticationFailHandler;

  @Autowired

  LindAuthenticationProvider lindAuthenticationProvider;

  @Override

  protected void configure(HttpSecurity http) throws Exception {

    http

        .authorizeRequests()

        .antMatchers("/", "/index").permitAll()

        .antMatchers("/admin/**").hasRole("ADMIN")//按路由授权

        .anyRequest().authenticated()

        .and()

        .formLogin()

        .loginPage("/login")

        .defaultSuccessUrl("/hello")//默认登录成功后跳转的页面

        .successHandler(lindAuthenticationSuccessHandler)

        .failureHandler(lindAuthenticationFailHandler)

        .permitAll()

        .and()

        .addFilterAt(lindAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class).authorizeRequests().and()

        .logout()

        .permitAll();

  }

  /**

   * 自定义的Filter.

   */

  @Bean

  LindUserNameAuthenticationFilter lindAuthenticationFilter() {

    LindUserNameAuthenticationFilter phoneAuthenticationFilter = new LindUserNameAuthenticationFilter();

    ProviderManager providerManager =

        new ProviderManager(Collections.singletonList(lindAuthenticationProvider));

    phoneAuthenticationFilter.setAuthenticationManager(providerManager);

    phoneAuthenticationFilter.setAuthenticationSuccessHandler(lindAuthenticationSuccessHandler);

    phoneAuthenticationFilter.setAuthenticationFailureHandler(lindAuthenticationFailHandler);

    return phoneAuthenticationFilter;

  }

  /**

   * 密码生成策略.

   *

   * @return

   */

  @Bean

  public PasswordEncoder passwordEncoder() {

    return new BCryptPasswordEncoder();

  }

}

认证时执行的顺序

  1. LindUserNameAuthenticationFilter
  2. LindAuthenticationProvider.retrieveUser
  3. LindAuthenticationProvider.additionalAuthenticationChecks
  4. UserDetailsService
  5. Authentication

springSecurity源码:https://github.com/spring-projects/spring-security

SpringSecurity自定义AuthenticationProvider和AuthenticationFilter的更多相关文章

  1. SpringSecurity 自定义用户 角色 资源权限控制

    SpringSecurity 自定义用户 角色 资源权限控制 package com.joyen.learning.security; import java.sql.ResultSet; impor ...

  2. SpringSecurity 自定义表单登录

    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...

  3. SpringSecurity自定义登陆页面和跳转页面

    如果我们不用form-login说明登陆界面,springsecurity框架将自动为我们生成登陆界面 现在我们不想用自动生成的登陆界面了,而想使用自定义的漂亮的登陆界面 则需要使用<secur ...

  4. springSecurity自定义认证配置

    上一篇讲了springSecurity的简单入门的小demo,认证用户是在xml中写死的.今天来说一下自定义认证,读取数据库来实现认证.当然,也是非常简单的,因为仅仅是读取数据库,权限是写死的,因为相 ...

  5. SpringSecurity自定义过滤器

    applicationContext-security.xml: <beans:beans xmlns="http://www.springframework.org/schema/s ...

  6. Spring-Security 自定义Filter完成验证码校验

    Spring-Security的功能主要是由一堆Filter构成过滤器链来实现,每个Filter都会完成自己的一部分工作.我今天要做的是对UsernamePasswordAuthenticationF ...

  7. SpringSecurity自定义UsernamePasswordAuthenticationFilter

    UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationPr ...

  8. SpringSecurity自定义注解和处理器

    登录功能 添加一个配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Reso ...

  9. Spring-Security自定义登录页&inMemoryAuthentication验证

    Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架.框架下内容比较多,可以做到按照角色权限对请求路径进行限制.今天主要验证自定义登录页,在内存用户存储中进行请求 ...

随机推荐

  1. QM4_Probability

    Basic Concepts Probability concepts Terms Random variable A quantity whose possible values are uncer ...

  2. delete.go

    package api import (     "net/http"     "fmt"     "io/ioutil"     &quo ...

  3. CopyOnWriteArrayList简介

    CopyOnWriteArrayList,写数组的拷贝,支持高效率并发且是线程安全的,读操作无锁的ArrayList.所有可变操作都是通过对底层数组进行一次新的复制来实现. CopyOnWriteAr ...

  4. ||与&&的返回值

    当你准备携带你的配剑杀向江湖的时候,当你准备进入js这门语言的时候,你会遇到很多||与&&的问题.那么对于他们的返回值你知道多少呢? 在此之前我们来聊一个大家都知道的知识:js中值转换 ...

  5. 【爆料】-《昆士兰大学毕业证书》Queensland一模一样原件

    ☞昆士兰大学毕业证书[微/Q:2544033233◆WeChat:CC6669834]UC毕业证书/联系人Alice[查看点击百度快照查看][留信网学历认证&博士&硕士&海归& ...

  6. COGS2421 [HZOI 2016]简单的Treap

    题面见这里 大概是个模板题 Treap暴力插入的做法太暴力了并不优美 这里就需要用到笛卡尔树的构造方法,定义见这里 在 假的O(n) 的时间内构造一棵Treap 把元素从小到大排序 这样从小到大插入时 ...

  7. 再不了解PostgreSQL,你就晚了之PostgreSQL主从流复制部署

    前言 在MySQL被收购之后,虽然有其替代品为: MariaDB,但是总感觉心里有点膈应.大家发现了另一款开源的数据库: PostgreSQL. 虽然centos自带版本9.2也可以用,但是最近的几次 ...

  8. asp.net core系列 60 Ocelot 构建服务认证示例

    一.概述 在Ocelot中,为了保护下游api资源,用户访问时需要进行认证鉴权,这需要在Ocelot 网关中添加认证服务.添加认证后,ReRoutes路由会进行身份验证,并使用Ocelot的基于声明的 ...

  9. Python:游戏:五子棋之人机对战

    本文代码基于 python3.6 和 pygame1.9.4. 五子棋比起我之前写的几款游戏来说,难度提高了不少.如果是人与人对战,那么,电脑只需要判断是否赢了就可以.如果是人机对战,那你还得让电脑知 ...

  10. OSPF 基础实验

    一.环境准备 1. 软件:GNS3 2. 路由:c7200 二.实验操作 实验要求: 1.掌握多区域的 OSPF 配置方法. 2.区别不同区域的路由. 3.掌握 OSPF 的路由汇总配置. 4.掌握  ...